魔法学校的罗杰向他的同学演示他新学的黑魔法，远程安装黑洞木马时，黑洞木马被《QQ医生》查杀，只见他念了一句咒语，再次远程安装黑洞木马，此时《QQ医生》毫无反应，犹如“木头人”一般。罗杰念的是什么咒语?什么黑魔法会这么厉害?　　一、《QQ医生》靠特征码“吃饭”: ?6 }0 p8 O. d. p$ }! [& ]% G. U7 J
　　现在网上的木马、盗号软件越来越多，所以各种QQ账号被盗的事件频频发生。由于在QQ安全保护上饱受用户批评，腾讯引入跟微软的Defender安全软件一样的机制，通过研发独立的安全软件来减少盗号的现象。《QQ医生》就是其推出的一款专门针对盗取QQ密码的软件，它能够准确的扫描用户计算机上的盗号木马程序，并有效清除从而保护QQ账号的安全。
& I9 r$ n$ Y2 a; K7 N　　《QQ医生》主要包括三项功能，扫描检测木马病毒、扫描检测系统漏洞、扫描检测程序的完整性。当扫描未安装的木马程序文件时，《QQ医生》并不会报警，只在当木马安装运行后，才能检测到木马服务端的存在。
! M5 m" s1 s8 Z) b1 A　　由此可以看出《QQ医生》是通过内存特征码来定位的，因此罗杰要想通过黑洞木马成功的进行演示，就必须更改黑洞木马的内存特征码，只有这样才可以轻松的绕过《QQ医生》进行控制。4 ^. G9 }+ C2 y- _" Q
　　小提示：所谓内存特征码就是程序运行时内存地址，而杀毒软件就是通过这个地址对应的代码来进行病毒分析的，因此我们修改这个地址的代码就可以躲过杀毒软件的检测。
/ {4 v6 k4 I# k* O2 [0 k　　二、修改特征码绕过《QQ医生》
! u& d& c' l% {$ Z6 z　　第一步：查找内存特征码5 T; c0 l& z# w# |/ |6 G
　　首先查找到木马的内存特征码，然后对特征码内容进行修改，这样《QQ医生》就无法通过病毒库中保存的特征码与木马的特征码进行比对，这样最终躲过杀毒软件的查杀。' t! [" G5 ]) x  k1 m( l2 h% a1 @
　　要制作免杀黑洞木马，先运行特征码检查程序MYCCL后，点击“文件”按钮选择服务端文件，并将“带后缀”选项前面的打勾选中。接着在“分块个数”选项中设置设置10个(图1)。设置完成后点击“生成”按钮，就能在目录中生成相应的程序分块。' h& d( r7 M- S. o1 t" S. F- W7 U

图1

　　由于是分析木马的内存特征码，因此必须将它加载到系统内存后才行。所以接着运行内存特征码分析程序TK.Loader，通过它载入木马服务端文件的分块目录后，点击“全部载入”按钮即可将木马加载到系统内存，这时利用《QQ医生》就能检测出木马的存在并查杀。在《QQ医生》查杀完成后返回MYCCL，再点击“二次处理”按钮后，就可以得到黑洞木马一个大概的特征码位置。第二步：转换内存特征码 4 I; a! Q4 x' ?
+ F. Q) `2 \& g6 x- K1 o
　　木马的特征码的大概范围知道以后，点击MYCCL主界面中的“特征区间”按钮，在出现的“填充/特征码 区间设定”窗口中，选中刚刚找到的那段大的特征码以后，选中右键中的“复合定位此处特征”命令。然后对特征码继续进行分块等进一步的操作，最终得到特征码精确的文件地址00061BAF_00000002(图2)。
# b4 h" g, g% b. P2 g5 Y

图2

　　由于《QQ医生》是通过内存特征码进行查杀，而00061BAF_00000002这个地址只是特征码的文件地址，而当木马加载到系统内存后地址就会发生偏移，因此我们还需要将它转换为内存中的地址。
. Z, b, P/ U. D( {" t9 u　　运行“偏移量转换器”，首先通过打开按钮设置木马程序的路径，接着在“文件偏移”中输入特征码地址，点击转换按钮在内存地址中得到特征码的内存地址(图3)。8 ^8 _8 h6 q; Z; C( @' M

图3

　　第三步：修改内存特征码

$ T$ q/ q# P) C$ e; `; M, k　　现在运行汇编程序OllyICE并载入黑洞木马服务端文件，接着通过滚动条向上移动找到内存特征码的地址，即004627AF。点击右键选择“二进制”菜单中的“使用 NOP 填充”命令，这样就可以把特征码填充掉(图4)。然后选择右键中的“复制到可执行文件”，接着在它的子菜单中选择“选择部分”命令，然后在新窗口中点击鼠标右键，选择其中的“保存文件”命令后进行保存即可。
5 Z2 D2 v  J4 x; W. K

图4

　　第四步：黑洞木马的使用
! {/ C6 c* d- V1 d3 j4 ?　　免杀制作完成后，就可以将木马安装到远程系统，然后通过客户端成功连接到服务端，点击工具栏中需要的控制命令，比如远程桌面命令，然后在弹出的操作窗口通过鼠标进行操作，就能在远程系统进行演示操作呢。$ m3 ?! u2 C0 A1 S6 Q2 p* J& d
　　三、QQ安全不用愁
5 i+ ?: t# c' i- y$ ]　　方法1：首先要加强Windows系统本身的安全防护能力。虽然《QQ医生》包括系统漏洞检测功能，但是无法完整的检测出系统漏洞，这样就给大量的网页木马提供了可乘之机。因此用户最好通过系统自带的WindowsUpdate功能来检测。另外，关闭Windows系统的自动播放功能，这样可以避免移动设备来传播木马病毒等。  & q0 q/ U' n( p5 b
　　方法2：虽然《QQ医生》操作起来简单易用，但是目前仅为防止QQ盗号而研发，而不能代替其他的安全软件。同时软件也不具有实时监控功能，所以为了保护自己的计算机的安全，还需要配合其他的专业防病毒软件进行使用。
& r( z+ e* G8 c0 s5 i. z　　攻防博弈
3 F2 \' Z* G; B　　攻：《QQ医生》毕竟是一款小的安全工具，不可能对所有的木马病毒进行查杀，轻松的就突破了《QQ医生》的追杀，弄得我们一点成就感都没有。我们还可以玩些有技术含量的，比如通过QQ空间进行跨站挂马，这样才能显示出我们的技术能力。
) L1 Q$ J* o) b! b& N　　防：针对《QQ医生》做免杀，我们可以用其他杀毒软件来破解。至于用QQ空间进行跨站挂马，我们可以依靠杀毒软件08毒霸的主动防御来防范。: i) u5 n) K# x- d- z. G+ t

! ~) ]- _5 D  I
/ |. e! J. u& N# L[ 本帖最后由 liuchun121 于 2007-12-20 15:42 编辑 ]

{123_075} QQ医生不安全了~~~

QQ医生给人破了!!!{8E}

好文  谢谢楼主了。

不错

学习

学习

学习学习,增加知识

QQ医生.......LJ一样的东东

增长知识了~

学习

《QQ医生》不安全啦 ，才知道哦，学习了

看来TX的东西不可靠了哦

基本上不用QQ医生

学习之~

QQ医生从一开始就不安全

汗死```````

难怪腾讯要和金山毒霸合作啊，原来是你们破解了他的医生，把别个吓到起了哦

不错,谢谢